Portál občana – nebezpečná novinka státu?
Novopečený ministr vnitra Jan Hamáček dnes veřejnosti představil nový Portál občana, místo, kde by měl být každý občan České republiky vybavený novou elektronickou občankou (a hlavně starou datovou schránkou, ale o tom až jindy) schopen získat přístup k široké škále služeb státu.
Jaké jsou první dojmy z této poslední vymoženosti českého eGovernmentu? Více než rozpačité. Na první pohled je zřejmé, že web je sice moderní a přehledný, ale s jeho bezpečnostní si hlavu nikdo příliš nelámal. Ilustrací přístupu k bezpečnosti hlavního portálového řešení České republiky budiž drobnost zvaná „Session Management„. Zjednodušeně řešeno jde o to, za jakých okolností systém věří, že za počítačem přistupujícím k portálu skutečně sedíte vy.
Pro vstup do portálu je vyžadováno poměrně robustní ověření, kdo že se to pokouší služeb státu využívat. Máte možnost přihlásit se prostřednictvím osobní datové schránky, nebo pomocí elektronického občanského průkazu s čipem. Obě cesty jsou poměrně spolehlivou garancí identity uživatele. Potud je všechno v pořádku. Problém ale nastane v okamžiku, kdy systém dále používáte.
U bezpečných systémů je dobrou praxí, že Vás systém odhlásí v případě delší neaktivity, ale, a to především, v případě že zavřete okno prohlížeče, ve kterém jste se systémem pracovali. Má to logický důvod – pokud má k počítači, na kterém jste byli do systému přihlášeni, přístup i někdo další, neměl by mít možnost navázat na práci s portálem jen tím, že znovu otevře prohlížeč a vstoupí na stránky portálu. V takovém případě systém musí vyžadovat nové přihlášení. A v této základní, ale současně velmi zásadní věci Portál občana žalostně selhává.
Testování bezpečnosti je u takových systémů, jakým by měl být i Portál občana, absolutní samozřejmostí. U aplikací využívajících internetové klienty je pak testování tzv. Session Management Vulnerabilities, tedy zranitelností souvisejících s udržováním přihlášení uživatele, naprostým základem.
Nabízí se proto otázka, co všechno je ještě v rámci Portálu občana špatně, když ministerstvo ignorovalo i tento elementární a jednoduše ověřitelný bezpečnostní prvek …
Napsáno pro ZDROJ.CZ.